กลุ่มแฮกเกอร์จากเกาหลีเหนือได้ปล่อยแพ็กเกจอันตรายกว่า 200 ตัวลงใน npm registry
ตั้งแต่เดือนตุลาคม 2025 แฮกเกอร์ได้อัปโหลดแพ็กเกจปลอมกว่า 200 ตัว เช่น tailwind-magic, node-tailwind, และ react-modal-select ลงใน npm registry โดยปลอมเป็นเครื่องมือยูทิลิตี้ที่ดูเหมือนจริง แต่เมื่อถูกติดตั้ง แพ็กเกจเหล่านี้จะเชื่อมต่อไปยัง Vercel เพื่อดึง Payload ต่อไป และสุดท้ายโหลดโค้ดอันตรายจากบัญชี GitHub ที่ถูกซ่อนเอาไว้
วิธีการทำงานของ OtterCookie
มัลแวร์ OtterCookie ซึ่งเป็นสายพันธุ์ใหม่ของ BeaverTail จะทำการตรวจสอบก่อนว่ากำลังถูกนักวิจัยวิเคราะห์หรือไม่ หากปลอดภัย มันจะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตีเพื่อเปิด Remote Shell ทำให้แฮกเกอร์สามารถควบคุมเครื่องจากระยะไกลได้ จากนั้นมันจะเริ่มทำงาน เช่น
ขโมยข้อมูลจาก Clipboard
Keylogging และจับภาพหน้าจอ
สแกนหาเอกสารสำคัญ
ล้วงข้อมูล Credential ของเบราว์เซอร์และกระเป๋าเงินคริปโต ทั้งบน Windows, macOS และ Linux
ความร้ายแรงของการโจมตี
รายงานจาก Socket ระบุว่าแพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 31,000 ครั้ง ทำให้การโจมตีครั้งนี้ถือเป็นหนึ่งในแคมเปญที่แพร่หลายที่สุดบน npm ผู้เชี่ยวชาญด้านความปลอดภัยเปรียบเทียบว่าแฮกเกอร์ใช้กระบวนการที่คล้ายกับ Software Development Lifecycle แต่แทนที่จะสร้างฟีเจอร์ใหม่ พวกเขาสร้างมัลแวร์และอัปเดตอย่างต่อเนื่องเพื่อหลอกนักพัฒนา
สรุปเป็นหัวข้อ
รายละเอียดการโจมตี
แฮกเกอร์เกาหลีเหนือปล่อยแพ็กเกจปลอมกว่า 200 ตัวบน npm
ใช้กลยุทธ์ Contagious Interview หลอกนักพัฒนา Web3 และ Blockchain
การทำงานของ OtterCookie
ตรวจสอบสภาพแวดล้อมก่อนทำงาน
เปิด Remote Shell ให้แฮกเกอร์ควบคุมเครื่อง
ขโมยข้อมูล Clipboard, Keylogging, Screenshot และ Credential
ผลกระทบที่เกิดขึ้น
แพ็กเกจถูกดาวน์โหลดแล้วกว่า 31,000 ครั้ง
ถือเป็นหนึ่งในแคมเปญมัลแวร์ที่แพร่หลายที่สุดบน npm
ใช้โครงสร้างคล้าย Software Development Lifecycle แต่เพื่อสร้างมัลแวร์
คำเตือนด้านความปลอดภัย
นักพัฒนาที่ติดตั้งแพ็กเกจปลอมเสี่ยงต่อการถูกขโมยข้อมูลสำคัญ
การใช้ npm โดยไม่ตรวจสอบแพ็กเกจอาจเปิดช่องให้มัลแวร์เข้ามา
องค์กรที่พัฒนา Web3/Blockchain ต้องเพิ่มมาตรการตรวจสอบโค้ดและแหล่งที่มา
https://hackread.com/nk-hackers-npm-packages-ottercookie-malware/
ตั้งแต่เดือนตุลาคม 2025 แฮกเกอร์ได้อัปโหลดแพ็กเกจปลอมกว่า 200 ตัว เช่น tailwind-magic, node-tailwind, และ react-modal-select ลงใน npm registry โดยปลอมเป็นเครื่องมือยูทิลิตี้ที่ดูเหมือนจริง แต่เมื่อถูกติดตั้ง แพ็กเกจเหล่านี้จะเชื่อมต่อไปยัง Vercel เพื่อดึง Payload ต่อไป และสุดท้ายโหลดโค้ดอันตรายจากบัญชี GitHub ที่ถูกซ่อนเอาไว้
วิธีการทำงานของ OtterCookie
มัลแวร์ OtterCookie ซึ่งเป็นสายพันธุ์ใหม่ของ BeaverTail จะทำการตรวจสอบก่อนว่ากำลังถูกนักวิจัยวิเคราะห์หรือไม่ หากปลอดภัย มันจะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตีเพื่อเปิด Remote Shell ทำให้แฮกเกอร์สามารถควบคุมเครื่องจากระยะไกลได้ จากนั้นมันจะเริ่มทำงาน เช่น
ขโมยข้อมูลจาก Clipboard
Keylogging และจับภาพหน้าจอ
สแกนหาเอกสารสำคัญ
ล้วงข้อมูล Credential ของเบราว์เซอร์และกระเป๋าเงินคริปโต ทั้งบน Windows, macOS และ Linux
ความร้ายแรงของการโจมตี
รายงานจาก Socket ระบุว่าแพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 31,000 ครั้ง ทำให้การโจมตีครั้งนี้ถือเป็นหนึ่งในแคมเปญที่แพร่หลายที่สุดบน npm ผู้เชี่ยวชาญด้านความปลอดภัยเปรียบเทียบว่าแฮกเกอร์ใช้กระบวนการที่คล้ายกับ Software Development Lifecycle แต่แทนที่จะสร้างฟีเจอร์ใหม่ พวกเขาสร้างมัลแวร์และอัปเดตอย่างต่อเนื่องเพื่อหลอกนักพัฒนา
สรุปเป็นหัวข้อ
รายละเอียดการโจมตี
แฮกเกอร์เกาหลีเหนือปล่อยแพ็กเกจปลอมกว่า 200 ตัวบน npm
ใช้กลยุทธ์ Contagious Interview หลอกนักพัฒนา Web3 และ Blockchain
การทำงานของ OtterCookie
ตรวจสอบสภาพแวดล้อมก่อนทำงาน
เปิด Remote Shell ให้แฮกเกอร์ควบคุมเครื่อง
ขโมยข้อมูล Clipboard, Keylogging, Screenshot และ Credential
ผลกระทบที่เกิดขึ้น
แพ็กเกจถูกดาวน์โหลดแล้วกว่า 31,000 ครั้ง
ถือเป็นหนึ่งในแคมเปญมัลแวร์ที่แพร่หลายที่สุดบน npm
ใช้โครงสร้างคล้าย Software Development Lifecycle แต่เพื่อสร้างมัลแวร์
คำเตือนด้านความปลอดภัย
นักพัฒนาที่ติดตั้งแพ็กเกจปลอมเสี่ยงต่อการถูกขโมยข้อมูลสำคัญ
การใช้ npm โดยไม่ตรวจสอบแพ็กเกจอาจเปิดช่องให้มัลแวร์เข้ามา
องค์กรที่พัฒนา Web3/Blockchain ต้องเพิ่มมาตรการตรวจสอบโค้ดและแหล่งที่มา
https://hackread.com/nk-hackers-npm-packages-ottercookie-malware/
🪲 กลุ่มแฮกเกอร์จากเกาหลีเหนือได้ปล่อยแพ็กเกจอันตรายกว่า 200 ตัวลงใน npm registry
ตั้งแต่เดือนตุลาคม 2025 แฮกเกอร์ได้อัปโหลดแพ็กเกจปลอมกว่า 200 ตัว เช่น tailwind-magic, node-tailwind, และ react-modal-select ลงใน npm registry โดยปลอมเป็นเครื่องมือยูทิลิตี้ที่ดูเหมือนจริง แต่เมื่อถูกติดตั้ง แพ็กเกจเหล่านี้จะเชื่อมต่อไปยัง Vercel เพื่อดึง Payload ต่อไป และสุดท้ายโหลดโค้ดอันตรายจากบัญชี GitHub ที่ถูกซ่อนเอาไว้
🔐 วิธีการทำงานของ OtterCookie
มัลแวร์ OtterCookie ซึ่งเป็นสายพันธุ์ใหม่ของ BeaverTail จะทำการตรวจสอบก่อนว่ากำลังถูกนักวิจัยวิเคราะห์หรือไม่ หากปลอดภัย มันจะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตีเพื่อเปิด Remote Shell ทำให้แฮกเกอร์สามารถควบคุมเครื่องจากระยะไกลได้ จากนั้นมันจะเริ่มทำงาน เช่น
🪲 ขโมยข้อมูลจาก Clipboard
🪲 Keylogging และจับภาพหน้าจอ
🪲 สแกนหาเอกสารสำคัญ
🪲 ล้วงข้อมูล Credential ของเบราว์เซอร์และกระเป๋าเงินคริปโต ทั้งบน Windows, macOS และ Linux
⚠️ ความร้ายแรงของการโจมตี
รายงานจาก Socket ระบุว่าแพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 31,000 ครั้ง ทำให้การโจมตีครั้งนี้ถือเป็นหนึ่งในแคมเปญที่แพร่หลายที่สุดบน npm ผู้เชี่ยวชาญด้านความปลอดภัยเปรียบเทียบว่าแฮกเกอร์ใช้กระบวนการที่คล้ายกับ Software Development Lifecycle แต่แทนที่จะสร้างฟีเจอร์ใหม่ พวกเขาสร้างมัลแวร์และอัปเดตอย่างต่อเนื่องเพื่อหลอกนักพัฒนา
📌 สรุปเป็นหัวข้อ
✅ รายละเอียดการโจมตี
➡️ แฮกเกอร์เกาหลีเหนือปล่อยแพ็กเกจปลอมกว่า 200 ตัวบน npm
➡️ ใช้กลยุทธ์ Contagious Interview หลอกนักพัฒนา Web3 และ Blockchain
✅ การทำงานของ OtterCookie
➡️ ตรวจสอบสภาพแวดล้อมก่อนทำงาน
➡️ เปิด Remote Shell ให้แฮกเกอร์ควบคุมเครื่อง
➡️ ขโมยข้อมูล Clipboard, Keylogging, Screenshot และ Credential
✅ ผลกระทบที่เกิดขึ้น
➡️ แพ็กเกจถูกดาวน์โหลดแล้วกว่า 31,000 ครั้ง
➡️ ถือเป็นหนึ่งในแคมเปญมัลแวร์ที่แพร่หลายที่สุดบน npm
➡️ ใช้โครงสร้างคล้าย Software Development Lifecycle แต่เพื่อสร้างมัลแวร์
‼️ คำเตือนด้านความปลอดภัย
⛔ นักพัฒนาที่ติดตั้งแพ็กเกจปลอมเสี่ยงต่อการถูกขโมยข้อมูลสำคัญ
⛔ การใช้ npm โดยไม่ตรวจสอบแพ็กเกจอาจเปิดช่องให้มัลแวร์เข้ามา
⛔ องค์กรที่พัฒนา Web3/Blockchain ต้องเพิ่มมาตรการตรวจสอบโค้ดและแหล่งที่มา
https://hackread.com/nk-hackers-npm-packages-ottercookie-malware/
0 Comments
0 Shares
26 Views
0 Reviews
Thai